你可能會在停車場、餐廳里,或者在收到的傳統信件上看到它們。二維碼(QR code)提供了輕鬆和便利,但並非所有二維碼都是安全的。
一種名為「Quishing」(二維碼網絡釣魚)的新型騙局日益猖獗,犯罪分子只需用一張小小的貼紙覆蓋在合法二維碼上,就可能在你掃描後瞬間竊取你的銀行信息或在手機中植入惡意軟件。
什麼是Quishing?
Quishing,即二維碼網絡釣魚(QR code phishing),指的是使用一種特殊的二維碼,當用戶掃描後,會被導向一個仿冒合法網站的惡意網站,這些網站旨在竊取蚌人信息。在某些情況下,掃描二維碼會使手機感染危險的軟件,即惡意軟件。
網絡安全公司Malwarebytes的產品副總裁Michael Sherwood說:「當你看一個二維碼時,你很難察覺到它有問題,因為它只是一個圖像,不一定有任何『跡象』表明它是惡意的。」
與其他類型的網絡釣魚攻擊不同,quishing更為棘手,因為用戶無法通過簡單地查看代碼來判斷其是否惡意。
圖源:Loraine Centeno/Metroland
安省的Quishing騙局
過去幾年,加拿大的不同地區都曾發現過惡意二維碼。在安省,渥太華市曾警告居民,在「先付費後展示」(pay and display)的停車收費機上發現了quishing騙局,這些收費機被人用假的二維碼貼紙動了手腳。
圖源:ottawa.ca
數十個路邊的收費機受到了影響,掃描了惡意二維碼的人被帶到了一個假的PayByPhone網站。
艾伯塔省紅鹿市(Red Deer)的皇家騎警(RCMP)去年也曾發出警告,提醒人們警惕不熟悉的二維碼。
在一個案例中,有人收到了一個他們並未訂購的奢侈品包裹。當他們打開包裹時,裏面有一張紙條指示他們掃描一個二維碼,結果發現該二維碼來自一個詐騙者。
在其他案例中,詐騙者會將一個假的二維碼貼紙覆蓋在一個合法的二維碼之上。
警方警告人們,除非他們確信二維碼是可靠的,否則不要掃描。
Quishing是如何運作的?
攻擊通常由網絡犯罪分子創建一個惡意二維碼開始。該代碼旨在將用戶重定向到一個仿冒網站,以竊取受害者的敏感信息,或者它也可能被設計成將惡意軟件下載到設備中。
據Malwarebytes稱,這些惡意代碼可能以圖片或附件的形式插入到電子郵件中,通過即時通訊應用發送,嵌入到社交媒體帖子或廣告中,或者被放置在公共區域,如餐廳、公共咪錶、假的活動海報和充電站。
在某些情況下,這些二維碼也會通過郵件發送到目標的家中,附在一個偽裝成特殊禮物的包裹里,並附有掃描代碼的說明。
一旦代碼被掃描,受害者就會被帶到一個頁面,他們可能會被提示輸入銀行信息,或者在不知情的情況下將惡意軟件下載到自己的設備上。
新型騙局可規避檢測
根據網絡安全公司INKY的一份報告,一種危險的新quishing策略甚至不需要用戶點擊連結,而是在二維碼被掃描後立即將用戶帶到惡意網站。
報告稱,這使得黑客能夠規避常見的安全過濾器。
滑鐵盧大學網絡安全與私隱研究所的Kami Vaniea表示,攻擊者通過創建一個以「data」而不是「https」開頭的特殊URL來實現這一點,並將所有網站代碼直接嵌入到該data URL本身。這樣一來,惡意代碼就直接嵌入到二維碼中,而不是連結到一個外部網站。
「這使得攻擊者可以直接給你網站代碼,而無需訪問https類型的URL,從而有效地繞過了大多數過濾器。」
Sherwood說,這類二維碼騙局可能變得更加危險,它會將以前需要人們手動操作的步驟自動化,例如點擊連結。不過,他說,這種複雜的攻擊很少見。
儘管如此,專家建議在處理二維碼時要保持謹慎。
如何防範Quishing騙局
Sherwood說:「安全的方法是,只掃描你熟悉的二維碼,不要掃描你在街上或公交上看到的隨機二維碼。」
Vaniea說,關閉二維碼閱讀器應用中的自動打開或訪問功能也是一個值得推薦的做法。「這給了用戶在訪問網站之前檢查URL的機會。」
她建議,定期更新軟件和設備也很重要。「如果這種新的quishing攻擊開始被頻繁使用,大型瀏覽器提供商將開始對其進行掃描並向用戶發出警告,」這些安全補丁將通過瀏覽器更新的形式提供。「如果你不確定,就不要掃描二維碼,而是使用搜尋引擎來查找你想要的東西。」
